Мы используем редактор WYSIWYG для более чем я помню. Легко вставлять javascript в этот вид редактора делают его сидящей утиной для атак XSS.Любой редактор WYSIWYG с предотвращением атаки XSS?
Кто-нибудь знает любой редактор WYSIWYG, чем интегрирован с предупреждениями XSS?
Решения и предложения приветствуются.
Редактор WYSIWYG на стороне клиента (если он не упакован вместе с некоторым серверным компонентом, который будет специфичным для платформы). Вы не можете защитить от пользовательских атак с клиентской стороны; пользователи могут всегда пропускать редактор и размещать свой XSS прямо в HTTP-запросе.
Вы никогда не захотите выбросить информацию на этапах ввода или хранения. Все, что вы делаете для предотвращения XSS, должно происходить, когда вы пишете ввод пользователя назад на экран. Самый простой способ - просто кодировать все. Очевидно, что на таком сайте, как Stackoverflow, где некоторая запись пользователя должна быть записана в конце концов как разметка, ее сначала нужно очистить.
Если мы знаем еще немного о том, какую платформу вы используете, мы могли бы, вероятно, рекомендовать некоторые проверенные, проверенные библиотеки, которые делают то, что вам нужно.